跳至主内容

反恶意软件

反恶意软件 模块通过检测感染或可疑项目,并根据指定操作尝试清除威胁或隔离感染,从而保护Exchange邮件服务器免受各类恶意软件威胁(病毒、木马、间谍软件、rootkit、广告软件等)。

反恶意软件扫描在以下两个层面执行:

policies_exchange_protection_antimalware_cp_48211_en.png

传输层扫描

Bitdefender终端安全工具 与邮件传输代理集成以扫描所有电子邮件流量。

默认情况下,传输层扫描处于启用状态。 Bitdefender终端安全工具 会过滤电子邮件流量,并在必要时通过在邮件正文中添加文本来通知用户所采取的操作。

点击切换按钮以启用 反恶意软件过滤 .

要配置扫描后的通知文本,请点击 编辑备注 。在配置页面上,以下选项可用:

  • 向扫描后的电子邮件添加页脚。 选中此复选框以在扫描后的电子邮件底部添加一句话。要更改默认文本,请在下面的文本框中输入您的消息。

  • 替换文本。 对于附件已被删除或隔离的电子邮件,可以附加通知文件。要修改默认通知文本,请在相应的文本框中输入您的消息。

    policies_exchange_protection_antimalware_edit_notes_cp_48211_en.png

反恶意软件过滤依赖于规则。每封到达邮件服务器的电子邮件都会按照优先级顺序与反恶意软件过滤规则进行比对,直到匹配到某条规则为止。然后根据该规则指定的选项处理电子邮件。

管理过滤规则

您可以查看表中列出的所有现有规则,以及它们的优先级、状态和范围信息。规则按优先级排序,第一条规则的优先级最高。

任何反恶意软件策略都有一个默认规则,一旦启用反恶意软件过滤,该规则就会生效。关于默认规则需要了解的内容:

  • 您无法复制、禁用或删除该规则。

  • 您只能修改扫描设置和操作。

  • 默认规则的优先级始终是最低的。

创建规则

您有两种创建过滤规则的方式:

  • 从默认设置开始,按照以下步骤操作:

    1. 点击 添加 表格上方的按钮以打开配置页面。

    2. 配置规则设置。有关选项的详细信息,请参阅 规则选项 .

    3. 点击 添加 ,该规则将显示在表格首位。

  • 使用自定义规则的克隆作为模板,步骤如下:

    1. 从表格中选择所需规则。

    2. 点击表格上方的 克隆 按钮以打开配置页面。

    3. 根据需求调整规则选项。

    4. 点击 添加 ,该规则将显示在表格首位。

编辑规则

编辑现有规则的方法:

  1. 点击规则名称以打开配置窗口。

  2. 为需要修改的选项输入新值。

  3. 点击 保存 。更改将在策略保存后生效。

设置规则优先级

更改规则优先级的方法:

  1. 定位到需移动的规则,点击 moreIcon.png 更多 菜单并选择 编辑优先级 .

  2. 使用箭头调整优先级。

  3. 点击 exclusionsOKicon.png 确定 图标以确认更改。

要将规则设为列表首位,请点击对应的 moreIcon.png 更多 按钮并选择 移至顶部 .

删除规则

您可以一次性删除一个或多个自定义规则。操作步骤如下:

  1. 勾选待删除规则对应的复选框。

  2. 点击表格上方的 删除 按钮。规则一经删除将无法恢复。

要删除单个规则,请点击对应的 moreIcon.png 更多 菜单并选择 删除 .

规则选项

policies_exchange_protection_antimalware_rule_options_cp_48211_en.png

可配置选项如下:

  • 常规设置 此部分必须设置规则名称,否则无法保存。若需规则在策略保存后立即生效,请勾选 启用 复选框。

  • 规则范围 通过设置以下叠加范围选项,可限制规则仅适用于邮件子集:

    • 应用于(方向) 选择规则适用的邮件传输方向。

    • 发件人 您可设定该规则适用于任何发件人或仅限特定发件人。如需缩小发件人范围,请点击 特定 按钮,从左表中选择所需群组。右侧表格将显示已选群组。

    • 收件人。 您可设定该规则适用于任何收件人或仅限特定收件人。如需缩小收件人范围,请点击 特定 按钮,从左表中选择所需群组。右侧表格将显示已选群组。

      当任意收件人符合选择条件时规则生效。若需所有收件人均在选定群组中才触发规则,请选择 匹配全部收件人 .

      注意

      位于 抄送 密送 栏的地址同样视为收件人。

      重要

      基于用户组的规则仅适用于集线器传输和邮箱角色。

  • 选项。 为匹配规则的电子邮件配置扫描选项:

    • 扫描文件类型。 此选项用于指定需扫描的文件类型。您可选择扫描所有文件(忽略扩展名)、仅扫描应用程序文件、或扫描特定危险扩展名文件。扫描所有文件提供最佳防护,而仅扫描应用程序文件可加快扫描速度。

      注意

      应用程序文件比其他文件类型更易受恶意软件攻击。详见附录extensions.app。

      若需仅扫描特定扩展名文件,您有两种选择:

      • 用户自定义扩展名 (仅需提供待扫描的扩展名)

      • 全部文件(特定扩展名除外) (仅需输入跳过扫描的扩展名)

    • 附件/邮件正文最大尺寸(MB)。 勾选此复选框并在相应字段中输入数值,以设置待扫描附件文件或邮件正文的最大允许大小。

    • 归档文件最大深度(层级数)。 勾选复选框并从对应字段中选择最大归档深度。深度级别越低,性能越高但防护等级越低。

    • 扫描潜在有害应用程序(PUA)。 勾选此复选框可扫描可能恶意或不需要的应用程序(如广告软件),这类程序可能在未经用户同意的情况下安装,改变各类软件产品行为并降低系统性能。

  • 处置措施。 您可根据检测类型为安全代理指定不同的自动文件处置措施。

    检测类型将文件分为三类:

    • 受感染文件。 Bitdefender 通过多种先进机制(包括恶意软件特征码、机器学习及基于人工智能的技术)将文件检测为受感染状态。

    • 可疑文件。 这些文件经启发式分析和其他 Bitdefender 技术检测为可疑。此类技术具有高检测率,但用户需注意某些情况下可能出现误报(将清洁文件判定为可疑)。

    • 不可扫描文件。 这些文件无法被扫描。不可扫描文件包括但不限于受密码保护、加密或过度压缩的文件。

    针对每种检测类型,您可设置默认(主要)处置措施及主要措施失败时的替代措施。虽不推荐,但您可通过对应菜单修改这些措施。可选处置措施包括:

    • 修复。 将受感染文件移至隔离区,拒绝访问并通过移除恶意代码并重建原始文件进行消毒。对于特定类型恶意软件,由于被检测文件完全恶意,消毒不可行。建议始终将此作为受感染文件的首选处置措施。可疑文件因无消毒程序可用而无法被消毒。

    • 拒收/删除邮件。 在具有边缘传输角色的服务器上,被检测邮件将以550 SMTP错误代码拒收。其他情况下邮件将被直接删除且无任何警告。建议避免使用此措施。

    • 删除文件。 直接删除存在问题的附件且不发出警告。建议避免使用此措施。

    • 替换文件。 删除问题文件并插入文本文件通知用户所采取的措施。

    • 将文件移至隔离区。 将被检测文件移至隔离文件夹并插入文本文件通知用户所采取的措施。隔离文件无法被执行或打开,因此感染风险消除。您可通过 隔离区 页面管理隔离文件。

      注意

      Exchange服务器的隔离功能需要在安装安全代理的分区上预留额外硬盘空间。隔离区大小取决于存储项目的数量及其体积。

    • 仅报告。 对检测到的文件不执行任何操作,这些文件仅会出现在扫描日志中。默认配置的扫描任务会忽略可疑文件。您可能需要更改默认操作以将可疑文件移至隔离区。

    • 默认情况下,当电子邮件匹配规则范围时,将完全按照该规则进行处理,而不会检查其他剩余规则。如需继续检查其他规则,请取消勾选 停止处理更多规则 .

创建和配置排除项

若希望特定邮件流量不受任何过滤规则影响,可定义扫描排除项。

创建排除项的步骤:

  1. 点击 添加 打开配置页面。

  2. 配置排除设置。有关选项的详细信息,请参阅 规则选项 .

  3. 点击 添加 。排除项将被添加至表格中。

Exchange存储扫描

Exchange保护功能通过微软Exchange Web Services (EWS)实现邮箱和公共文件夹数据库扫描。您可配置反恶意软件模块按指定计划定期对目标数据库执行按需扫描任务。

注意

  • 按需扫描仅适用于安装了邮箱角色的Exchange服务器。

  • 按需扫描会增加资源消耗,根据扫描选项和待扫描对象数量,可能需较长时间完成。

policies_exchange_protection_antimalware_scan_tasks_cp_48211_en.png

按需扫描需要Exchange管理员账户(服务账户)来模拟Exchange用户,并从用户邮箱和公共文件夹检索待扫描目标对象。建议为此创建专用账户。

Exchange管理员账户需满足以下要求:

  • 属于组织管理组成员(Exchange 2016、2013和2010)

  • 属于Exchange组织管理员组成员(Exchange 2007)

  • 关联了邮箱。

启用按需扫描

  1. 扫描任务 部分,点击 添加凭证 .

  2. 输入服务账户的用户名和密码。

  3. 若邮箱地址与用户名不同,还需提供该服务账户的邮箱地址。

  4. 输入Exchange Web Services (EWS) URL(当Exchange自动发现功能失效时必需)。

  5. 点击 添加 .

注意

  • 用户名必须包含域名,格式如 user@domain domain\user .

  • 若凭证发生变更,请勿忘记在 控制中心 更新。

policies_exchange_protection_antimalware_add_credentials_cp_48211_en.png

管理扫描任务

扫描任务表格显示所有计划任务,并提供其目标与重复周期的信息。

创建Exchange Store扫描任务的步骤:

  1. 扫描任务 部分,点击表格上方的 添加 按钮以打开设置界面。

  2. 按下文所述配置任务设置。

  3. 点击 添加 。任务将被添加到列表中,并在策略保存后生效。

您可随时点击任务名称进行编辑。

要从列表中移除任务,请选中任务并点击表格上方的 删除 按钮。

编辑或删除任务时,也可点击对应的 moreIcon.png 更多 按钮选择相应选项。

扫描任务设置

任务包含以下系列设置:

  • 常规 为任务输入描述性名称。

    注意

    您可在 Bitdefender终端安全工具 时间轴中查看任务名称。

  • 调度器 通过调度选项配置扫描计划。可设置扫描按小时、天或周为周期运行,并指定开始日期和时间。大型数据库扫描可能耗时较长并影响服务器性能,此时可配置任务在指定时间后停止。

    注意

    邮箱反恶意软件任务将在安装有 Bitdefender终端安全工具 Exchange安全模块的服务器上调度。这意味着:

    • 任务调度器位于服务器本地。

    • 所有计划扫描时间均基于该服务器的时区解析。

    例如,若将邮箱扫描计划为凌晨03:00,则无论邮箱所有者(终端用户)地理位置如何,都将在服务器时间03:00执行。

    Exchange服务器必须在线才能按时执行任务。若错过计划时间,扫描将在下次循环时执行。

    policies_exchange_protection_antimalware_scan_tasks_options_cp_48211_en.png

  • 目标 选择要扫描的容器和对象。可扫描邮箱、公共文件夹或两者。除邮件外,还可扫描其他对象如 联系人 , 任务 , 约会 公告项 。您还可以对扫描内容设置以下限制条件:

    • 仅未读邮件

    • 仅含附件项

    • 仅指定时间段内接收的新项

    例如,可仅扫描过去七天内从用户邮箱接收的邮件。

    点击切换开关启用 排除项 .

    创建排除规则时,请按以下方式使用表头字段:

    1. 从菜单中选择存储库类型。

    2. 根据存储库类型指定需排除的对象:

      存储库类型

      对象格式

      邮箱

      电子邮件地址

      公共文件夹

      从根目录开始的文件夹路径

      数据库

      数据库标识

      注意

      获取数据库标识需使用Exchange shell命令:

      Get-MailboxDatabase | fl name,identity

      每次仅能输入一个条目。若存在多个同类型条目,需按条目数量创建对应数量的规则。

    3. 点击 添加 点击表格上方的按钮以保存排除项并将其添加到列表中。

    要从列表中移除例外规则,请点击对应的 删除 按钮。

  • 选项 为符合规则的电子邮件配置扫描选项:

    • 扫描文件类型 使用此选项指定需要扫描的文件类型。您可以选择扫描所有文件(无论扩展名)、仅扫描应用程序文件,或扫描您认为危险的具体扩展名文件。扫描所有文件提供最佳防护,而仅扫描应用程序文件可加快扫描速度。

      注意

      应用程序文件比其他类型文件更易受恶意软件攻击。详情请参阅 应用程序文件类型 .

      若仅需扫描特定扩展名的文件,您有两种选择:

      • 用户自定义扩展名 (需手动输入待扫描的扩展名)

      • 扫描除指定扩展名外的所有文件 (需输入跳过扫描的扩展名)

    • 附件/邮件正文最大尺寸(MB) 勾选此选项并在对应字段输入数值,以设置待扫描附件或邮件正文的最大允许尺寸。

    • 压缩包最大深度(层级) 勾选选项并从对应字段选择最大压缩深度。深度值越低,性能越高但防护等级越低。

    • 扫描潜在有害程序(PUA) 勾选此选项可扫描可能未经用户同意安装、会改变软件行为或降低系统性能的恶意/不需要程序(如广告软件)。

  • 操作 您可根据检测类型,指定安全代理对文件自动采取的不同操作。

    检测类型将文件分为三类:

    • 受感染文件 Bitdefender 通过多种先进机制(包括恶意软件特征码、机器学习和人工智能技术)将文件判定为受感染。

    • 可疑文件。 这些文件通过启发式分析及其他 Bitdefender 技术被判定为可疑。这类技术能实现高检测率,但用户需注意某些情况下可能存在误报(将清洁文件误判为可疑文件)。

    • 无法扫描的文件。 这些文件无法被扫描。无法扫描的文件包括但不限于受密码保护、加密或过度压缩的文件。

    每种检测类型都设有默认(主要)操作和备用操作(当主要操作失败时执行)。虽然不推荐,但您可通过对应菜单修改这些操作。请选择要执行的操作:

    • 修复。 禁止访问受感染对象并将其移至隔离区。随后尝试通过移除恶意代码及恶意软件残留物来清除系统威胁。对于特定类型恶意软件,由于被检测文件完全恶意,清除操作不可行。建议始终将此作为处理受感染文件的首选操作。可疑文件因无清除程序支持而无法被修复。

    • 拒收/删除邮件。 直接删除邮件且不发出警告。建议避免使用此操作。

    • 删除文件。 直接删除存在问题的附件且不发出警告。建议避免使用此操作。

    • 替换文件。 删除问题文件并插入文本文件以通知用户所执行操作。

    • 将文件移至隔离区。 将检测到的文件移至隔离文件夹并插入文本文件通知用户所执行操作。隔离文件无法被执行或打开,从而消除感染风险。您可通过 隔离区 页面管理隔离文件。

      注意

      请注意,Exchange服务器的隔离功能需在安装安全代理的分区上额外占用硬盘空间。隔离区大小取决于存储邮件的数量及体积。

    • 仅报告。 对检测到的文件不执行任何操作,仅将其记录在扫描日志中。默认配置的扫描任务会忽略可疑文件。您可能需要更改默认操作以将可疑文件移至隔离区。

    • 默认情况下,当邮件符合规则范围时,将仅按该规则处理,不再检查其他剩余规则。若需继续检查其他规则,请取消勾选 若符合规则条件,则停止处理更多规则 .

本节 :